DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 976918 - Dernière mise à jour: samedi 12 février 2011 - Version: 2.0

 

Sommaire

Résumé

ImportantIl s'agit d'un article de la publication rapid. Pour plus d'informations, reportez-vous à la section « Avertissement ».

Cet article fournit un correctif pour plusieurs problèmes d'échec de l'authentification NTLM et Kerberos serveurs ne peut pas authentifier les ordinateurs Windows Server 2008 R2 et Windows 7. Cela est dû à des différences dans la façon dont les jetons de liaison de canal sont poignées. Pour plus d'informations, consultez la « symptômes », « Cause » et les sections « Résolution » de cet article.

Pour télécharger le correctif de ce problème, cliquez sur leCorrectif pour afficher et demande des téléchargementslien qui se trouve sur l'angle supérieur gauche de l'écran.

Symptômes

Windows 7 et Windows Server 2008 R2 prend en charge étendue de Protection pour l'authentification intégrée, qui inclut la prise en charge de couche liaison jeton (CBT) par défaut.

Vous pouvez rencontrer un ou plusieurs des symptômes suivants :
  1. Les clients Windows qui prennent en charge la liaison avec le canal échouent doivent être authentifiées par un serveur Kerberos non-Windows.
  2. Échecs d'authentification NTLM provenant de serveurs Proxy.
  3. Échecs d'authentification NTLM depuis les serveurs non Windows NTLM.
  4. Échecs d'authentification NTLM lorsqu'il existe une différence de temps entre le client et le serveur contrôleur de domaine ou groupe de travail.

Cause

Windows 7 et Windows Server 2008 R2 prend en charge étendue de Protection pour l'authentification intégrée. Cette fonctionnalité améliore la protection et la gestion des informations d'identification lors de l'authentification des connexions réseau à l'aide de l'authentification intégrée de Windows (IWA).

Il est activé par défaut. Lorsqu'un client tente de se connecter à un serveur, la demande d'authentification est liée pour le Service de nom Principal (SPN) utilisés. Également lorsque l'authentification a lieu à l'intérieur d'un canal TLS (Transport Layer Security), il peut être lié à ce canal. NTLM et Kerberos fournissent des informations supplémentaires dans leurs messages pour prendre en charge cette fonctionnalité.

En outre, les ordinateurs Windows 7 et Windows 2008 R2 désactivez LMv2.

Résolution

Pour les échecs où non Windows NTLM ou Kerberos serveurs échouent lors de la réception CBT, contactez le fournisseur pour obtenir une version qui gère correctement les CBT.

Pour les défaillances où les serveurs non Windows NTLM ou des serveurs proxy nécessitent LMv2, contactez le fournisseur pour obtenir une version qui prend en charge NTLMv2.

Contournement

ImportantCette section, une méthode ou une tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes sérieux peuvent survenir si vous modifiez le Registre de manière incorrecte. Par conséquent, assurez-vous de suivre ces étapes scrupuleusement. Pour une protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème survient. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756  (http://support.microsoft.com/kb/322756/ ) Comment faire pour sauvegarder et restaurer le Registre dans Windows

Pour contrôler le comportement de protection étendue, créez la sous-clé de Registre suivante :
Nom de la clé :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Nom de valeur :SuppressExtendedProtection
Type :DWORD
Pour les clients Windows qui prennent en charge la liaison avec le canal qui ne parviennent pas à être authentifié par Kerberos non-Windows serveurs qui ne gèrent pas correctement la FAO :
  1. Définir la valeur d'entrée de Registre sur 0 x « 01 ». Cela configurera Kerberos ne pas à émettre des jetons de FAO pour les applications non corrigées.
  2. Si cela ne résout pas le problème, puis définissez la valeur d'entrée de Registre pour « 0 x 03. » Cela configurera Kerberos jamais d'émettre des jetons de la FAO.

    RemarqueIl existe un problème connu avec Java de Sun qui a été adressée à prendre en charge l'option de l'accepteur peut ignorer les combinaisons de canal fournis par l'initiateur, retournant un succès dans les liaisons de canal par RFC 4121 (même si l'initiateur n'a réussihttp://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973 (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6851973) ).

    Nous vous recommandons d'installer la mise à jour suivante à partir du site Java de Sun et de réactiver la protection étendue :
    http://java.sun.com/JavaSE/6/webnotes/6u19.HTML (http://java.sun.com/javase/6/webnotes/6u19.html)
Pour les clients Windows qui prennent en charge la liaison avec le canal qui ne parviennent pas à être authentifiés par les serveurs non Windows NTLM ne gèrent pas correctement la FAO :
  • Définir la valeur d'entrée de Registre sur 0 x « 01 ». Cela configurera NTLM ne pas à émettre des jetons de FAO pour les applications non corrigées.
Pour les serveurs non Windows NTLM ou des serveurs proxy qui ont besoin de LMv2 :
  • Affectez la valeur d'entrée de Registre sur 0 x « 01 ». Cela configurera NTLM pour fournir des réponses de LMv2.
Pour le scénario dans lequel la différence de temps est trop grande :
  1. Corrigez l'horloge du client afin de refléter le temps sur le serveur de groupe de travail ou un contrôleur de domaine.
  2. Si cela ne résout pas le problème, puis définissez la valeur d'entrée de Registre sur 0 x « 01 ». Cela configurera NTLM pour fournir des réponses LMv2 qui ne sont pas soumis à un décalage horaire.

Plus d'informations

Quelle est la FAO (canal de liaison Token) ?

Couche de liaison jeton (CBT) est une partie de la Protection étendue pour l'authentification. CBT est un mécanisme pour lier un canal sécurisé TLS externe à canal interne d'authentification tels que Kerberos ou NTLM.

CBT est une propriété du canal sécurisé externe utilisé pour lier l'authentification sur le canal.

Protection étendue s'effectue par le client communique le nom SPN et la FAO pour le serveur de manière inviolable. Le serveur valide les informations étendues de protection, conformément à sa politique et rejette les tentatives d'authentification pour lesquels il pensez lui-même avoir été la cible prévue. De cette façon, les deux canaux deviennent cryptographiquement liés entre eux.

Protection étendue est maintenant pris en charge dans Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008.

Pour plus d'informations sur la protection étendue pour l'authentification dans Windows, reportez-vous au site Web de Microsoft à l'adresse suivante :
Informations sur la protection étendue pour l'authentification dans Windows (http://www.microsoft.com/technet/security/advisory/973811.mspx)

AVIS DE NON-RESPONSABILITÉ

PUBLICATION RAPIDE ARTICLES FOURNISSENT DES INFORMATIONS DIRECTEMENT À PARTIR DE L'ORGANISATION DE SUPPORT MICROSOFT. LES INFORMATIONS CONTENUES DANS CE DOCUMENT SONT CRÉÉES EN RÉPONSE À ÉMERGENTS OU UNIQUE RUBRIQUES, OU EST DESTINÉ À SUPPLÉMENT AUTRES CONNAISSANCES INFORMATIONS.

MICROSOFT ET/OU SES FOURNISSEURS NE FONT AUCUNE REPRÉSENTATION OU LES GARANTIES CONCERNANT LA CONFORMITÉ, LA FIABILITÉ OU LA PRÉCISION DES INFORMATIONS CONTIENT DANS LES DOCUMENTS ET GRAPHIQUES ASSOCIÉS PUBLIÉS SUR CE SITE WEB (LE « CONTENU ») À DES FINS. LES MATÉRIAUX PEUVENT INCLURE DES IMPRÉCISIONS TECHNIQUES OU DES ERREURS TYPOGRAPHIQUES ET PEUVENT ÊTRE RÉVISÉES À TOUT MOMENT SANS PRÉAVIS.

DANS LA MESURE PERMISE PAR LA RÉGLEMENTATION APPLICABLE, LOI, MICROSOFT ET/OU SES FOURNISSEURS EXCLUENT ET EXCLURE TOUTES LES REPRÉSENTATIONS, GARANTIES ET CONDITIONS SI EXPRESSE, IMPLICITE OU LÉGALE, Y COMPRIS MAIS NON LIMITÉ AUX REPRÉSENTATIONS, GARANTIES OU CONDITIONS DU TITRE, NON CONTREFAÇON, CONDITION SATISFAISANTE OU QUALITÉ, QUALITÉ MARCHANDE ET ADÉQUATION À UN USAGE PARTICULIER, À LA MATIÈRE.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Starter
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Mots-clés : 
kbrapidpub kbnomt kbtshoot kbexpertiseinter kbsurveynew kbprb kbmt KB976918 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 976918  (http://support.microsoft.com/kb/976918/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store